Требования по информационной безопасности

Когда работаешь в компании со зрелым уровнем информационной безопасности, то все относительно просто: ИБ-отдел централизованно спускает перечень требований ИБ на все проекты компании, и аналитику нужно лишь сверяться с этим списком при создании требований к системе и проставлять трассировки там, где это требуется. Но что делать, если в компании нет централизованного подхода к требованиям ИБ?

На BoF-сессии обсудим ключевые вопросы, которые могут возникнуть у аналитика, столкнувшегося с необходимостью самостоятельно прорабатывать ИБ-требования к системе.

• Чья это зона ответственности?
• Все ли должно ложится на плечи аналитика?
• На что обращать внимание аналитику?
• Влияние ИБ требований на: пользовательские сценарии, архитектуру, бизнес-логику.
• С кем взаимодействовать аналитику при формировании ИБ-требований к системе?
• На что опираться аналитику при создании ИБ-требований к системе (ИБ-стандарты, практики соседних проектов, чек-листы недопустимых событий)?